Wirus facebookowy atakuje

[Velheibgnar]

Witam.
Na komputerze mam bitdefender i firewall windowsa aktualnie, pare zabezpieczeń w przeglądarce oraz mywot.
Tak czy siak realny problem miała znajoma. Wiadomy scenariusz, kliknęła coś i fejs zaczął rozsyłać. Ja kliknąłem ten obrazek, potem sprawdziłem mywot oraz urlquery. Nic mi nie wlazło CHYBA ale dla pewności chciałbym prosić o instrukcje co robić. Takie bym mógł przekazać znajomej i wkleić moje i jej logi z OTL (jeśli tylko to jest konieczne).

Proszę o instrukję jak tutaj wklejać by było ładnie jestem nowy.
Z OTL mam wielki plik tekstowy oraz extras.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Instrukcja jak wykonać logi z FRST: bezpieczenstwo/korzystanie-z-frst-t28530.html

[XMan]

Instrukcja jak wykonać logi z FRST: bezpieczenstwo/korzystanie-z-frst-t28530.html

Wrzuć te logi

Logi/raporty wklejasz na:
Dostępne tylko dla zarejestrowanych użytkowników
a na forum podajesz tylko linki do nich.

[Velheibgnar]

Mój komputer:
OTL 1: Dostępne tylko dla zarejestrowanych użytkowników
OTL 2: Dostępne tylko dla zarejestrowanych użytkowników
FRST: Dostępne tylko dla zarejestrowanych użytkowników
FRST addition: Dostępne tylko dla zarejestrowanych użytkowników
FRST shortcut: Dostępne tylko dla zarejestrowanych użytkowników

Komputer znajomej:
OTL 1: Dostępne tylko dla zarejestrowanych użytkowników
OTL 2: Dostępne tylko dla zarejestrowanych użytkowników
COMBOFIX: Dostępne tylko dla zarejestrowanych użytkowników

czy polecić znajomej też przeskanowanie FRST?

[Kaen1227]

Przeskanowanie FRST nie zaszkodzi, możesz śmiało polecić znajomej
W jakim celu był stosowany Combofix?

[djarta]

=================Twój komputer====================

1. Otwórz notatnik i wklej:

S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X]
S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X]
S3 VMSMP; \SystemRoot\system32\DRIVERS\vmswitch.sys [X]
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Nightly\firefox.exe
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 0x4E5641DE18B7CF01
IFEO\SppExtComObj.exe: [Debugger] C:\Windows\SECOH-QAD.exe
C:\Windows\SECOH-QAD.exe
2014-08-12 17:32 - 2014-08-12 17:32 - 00202174 _____ () C:\ProgramData\1407857138.bdinstall.bin
2014-08-12 17:31 - 2014-08-12 17:33 - 00002842 _____ () C:\Windows\system32\lic2.xml21585
2014-08-12 17:22 - 2014-08-12 17:22 - 00047448 _____ () C:\ProgramData\1407856878.bdinstall.bin
2014-08-21 15:32 - 2014-07-25 17:10 - 00003596 _____ () C:\Windows\System32\Tasks\Optimize Start Menu Cache Files-S-1-5-21-915176885-2675628551-3175707376-1001
C:\Windows\Tasks\*.job
AlternateDataStreams: C:\Users\Velheibgnar\Downloads\adwcleaner_3.307.exe:BDU
AlternateDataStreams: C:\Users\Velheibgnar\Downloads\FRST64.exe:BDU
AlternateDataStreams: C:\Users\Velheibgnar\Downloads\jre-7u67-windows-x64.exe:BDU
AlternateDataStreams: C:\Users\Velheibgnar\Downloads\mbam-setup-2.0.2.1012.exe:BDU
AlternateDataStreams: C:\Users\Velheibgnar\Downloads\OnlineArmorSetup.exe:BDU
AlternateDataStreams: C:\Users\Velheibgnar\Downloads\OTL.exe:BDU
AlternateDataStreams: C:\Users\Velheibgnar\Downloads\ShouldIRemoveIt_Setup.exe:BDU
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Wstaw nowe logi z FRST.

=================Komputer znajomej====================

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:processes
killallprocesses

:OTL
O34 - HKLM BootExecute: (PCloudBroom.exe \systemroot\system32\BroomData.bit)
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
CHR - plugin: Error reading preferences file
[2014-06-12 12:57:05 | 000,000,587 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\delta-homes.xml
[2011-05-12 16:14:03 | 000,002,047 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "delta-homes"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "delta-homes"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.wp.pl/?src01=dp3"
FF - prefs.js..extensions.enabledAddons: shortcutff%40gmail.com:1.1.1
FF - prefs.js..extensions.enabledAddons: faststartff%40gmail.com:4.2.3
FF - prefs.js..extensions.enabledAddons: quick_start%40gmail.com:3.1.9
FF - prefs.js..extensions.enabledAddons: ffxtlbr%40Facemoods.com:1.4.0
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\faststartff@gmail.com: C:\Users\Agnieszka\AppData\Roaming\Mozilla\Firefox\Profiles\0xzv5sy3.default\extensions\faststartff@gmail.com [2014-06-12 12:57:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\shortcutff@gmail.com: C:\Users\Agnieszka\AppData\Roaming\Mozilla\Firefox\Profiles\0xzv5sy3.default\extensions\shortcutff@gmail.com [2014-06-12 12:57:19 | 000,000,000 | ---D | M]
[2014-06-12 12:57:10 | 000,000,000 | ---D | M] ("Fast Start") -- C:\Users\Agnieszka\AppData\Roaming\mozilla\Firefox\Profiles\0xzv5sy3.default\extensions\faststartff@gmail.com
[2014-06-12 12:57:19 | 000,000,000 | ---D | M] ("shortcut") -- C:\Users\Agnieszka\AppData\Roaming\mozilla\Firefox\Profiles\0xzv5sy3.default\extensions\shortcutff@gmail.com
IE - HKCU\..\SearchScopes\{0390890C-2481-4762-9EDC-8C75B576F540}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=CDAE2DBF-D1D8-418A-A335-289B435A45C5&apn_sauid=7DB58F13-4F2B-4CE0-A21A-98D823257FE4
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{86D3D57B-D4C4-4660-B947-A5DE80D153DB}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
IE - HKCU\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników^HJ^xdm073^YY^pl&si=pconverter&ptb=7491BC1E-C7B8-4C91-A7EE-54CDC35663E0&ind=2013052118&n=77fcbcd6&psa=&st=sb&searchfor={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników^HJ^xdm073^YY^pl&si=pconverter&ptb=7491BC1E-C7B8-4C91-A7EE-54CDC35663E0&ind=2013052118&n=77fcbcd6&psa=&st=sb&searchfor={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService)
SRV - [2013-04-08 19:44:12 | 001,320,496 | ---- | M] (pdfforge GmbH) [Auto | Running] -- C:\Program Files\PDF Architect\HelperService.exe -- (PDF Architect Helper Service)
SRV - [2013-04-08 19:43:36 | 000,799,280 | ---- | M] (pdfforge GmbH) [Auto | Running] -- C:\Program Files\PDF Architect\ConversionService.exe -- (PDF Architect Service)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{20a82645-c095-46ed-80e3-08825760534b}: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2011-05-11 00:05:48 | 000,000,000 | ---D | M]
[2009-03-18 14:40:42 | 000,019,153 | ---- | M] () (No name found) -- C:\Users\Agnieszka\AppData\Roaming\mozilla\firefox\profiles\0xzv5sy3.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b}\MicrosoftDotNetFrameworkAssistant.xpi

:Files
C:\Users\Agnieszka\AppData\Roaming\mozilla\firefox\profiles\0xzv5sy3.default\searchplugins\askcom.xml
C:\Users\Agnieszka\AppData\Roaming\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I
C:\Windows\System32\BroomData.bit
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Users\Agnieszka\AppData\Roaming\mozilla\firefox\profiles\0xzv5sy3.default\extensions\staged-xpis\{20a82645-c095-46ed-80e3-08825760534b}\MicrosoftDotNetFrameworkAssistant.xpi

:Commands
[emptyflash]
[emptyjava]
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera.

2. Do odinstalowania: McAfee Security Scan oraz PDF Architect

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wklej nowe logi z OTL.

[Velheibgnar]

MÓJ KOMPUTER:
ADWCleaner: Dostępne tylko dla zarejestrowanych użytkowników
FIXLOG: Dostępne tylko dla zarejestrowanych użytkowników

FRST 1: Dostępne tylko dla zarejestrowanych użytkowników
FRST 2: Dostępne tylko dla zarejestrowanych użytkowników
FRST 3: Dostępne tylko dla zarejestrowanych użytkowników

ZNAJOMĄ DOEDYTUJĘ LUB DODAM NIEDŁUGO:
w tej chwili ma 'brak odpowiedzi' w OTL po kliknięciu wykonaj skrypt
Combofix znajoma odpaliła bo wczoraj złapała to na fejsie i poskanowała komputer czym się dało.
Pewno ktoś inny jej polecił ale nic z tym nie robiła (z logiem).
BRAK ODPOWIEDZI MA W OTL więc chyba lipa z wykonania skryptu...

[djarta]

Więc niech wstawi logi z FRST.